La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

RGPD (2016/679) Rafael García del Poyo - Abogado. Socio Director del Departamento de Derecho IT/IP.

Publicada porAri Pranata Modificado hace 5 años

Presentaciones similares

Presentación del tema: "RGPD (2016/679) Rafael García del Poyo - Abogado. Socio Director del Departamento de Derecho IT/IP."— Transcripción de la presentación:

1 RGPD (2016/679) Rafael García del Poyo - Abogado. Socio Director del Departamento de Derecho IT/IP

2 Entrada en vigor y aplicación del RGPD
RGPD en vigor, pero no aplicable por el momento. Aplica la Directiva 95/46 y las demás normas nacionales que la transpongan Período transitorio: período de adaptación para las personas jurídicas que tratan datos personales a las nuevas reglas y va desde 25 de mayo de 2016 (fecha entrada en vigor) hasta la aplicación del RGPD el 25 de mayo de 2018 (fecha de aplicación). Cabe la iniciativa de los Estados Miembros para la adopción de normas que faciliten la aplicación del RGPD. (Anteproyecto de LOPD) 25 Mayo RGPD - 25 Mayo 2018 DIRECTIVA 95/46 CE REGLAMENTO (UE) 2016/679 LOPD // RLOPD Futura LOPD EUROPEA EUROPEA ESTATAL

3 Empresas u organizaciones afectadas
Aplica, como hasta ahora, a los responsables o encargados del tratamiento de datos establecidos en la UE Como novedad, aplica a aquellos responsables o encargados que no estén establecidos en la UE, pero que realicen tratamientos de datos a ciudadanos de la Unión Con el fin de ofrecer bienes o servicios a dichos ciudadanos Monitorización de su comportamiento en territorio de la UE Obliga a las organizaciones extracomunitarias que realicen tratamientos de datos a los ciudadanos de la UE a nombrar un representante, que actúa como punto de contacto, en la Unión Todo ello hace que el RGPD aplique a aquellas empresas que tratan datos en la UE, pero que antes se regían por otras normativas (que no siempre tienen el mismo nivel de protección)

4 Formas de obtener el consentimiento para el tratamiento de los datos de carácter personal
Con carácter general, el consentimiento tiene que ser libre, informado, específico e inequívoco Por inequívoco se entiende la existencia de una declaración o acción positiva que indique el acuerdo del interesado Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento, ya que las prácticas que se fundamentan en el consentimiento tácito dejarán de ser aceptadas (interés legítimo). Se exige el consentimiento expreso para determinados casos, como para el tratamiento de datos sensibles El consentimiento debe ser verificable, de modo que se pueda demostrar que el afectado otorgó un consentimiento válido

5 Nuevas herramientas de control para los ciudadanos de la UE sobre sus datos personales
Derecho al olvido: derecho a solicitar que los datos personales sean suprimidos en cuanto no sean necesarios, se haya retirado el consentimiento o hayan sido recogidos ilícitamente. Derecho a la portabilidad: derecho a que el interesado que proporciona datos, pueda solicitarlos de modo que se permita su traslado directo a otro responsable de tratamiento de datos, siempre que: El tratamiento esté basado en el consentimiento. Se efectúe por medios automatizados. WP29 Guidelines: Los datos que están sujetos a este derecho de portabilidad son aquellos que provee el interesado de forma activa y consciente, así como los observados a partir del uso del servicio o producto. No cubriría los datos generados a partir de los facilitados por el interesado, en tanto que puede suponer distorsiones en la competencia

6 El principio de "responsabilidad activa" (Accountability)
Empresas deben adoptar a iniciativa propia medidas que aseguren razonablemente el cumplimiento de principios, derechos y garantías que el Reglamento establece. (Compliance.) Se muestra rechazo a la idea de actuar sólo en caso de infracción, porque pueden haberse causado daños muy difíciles de compensar o reparar. Protección de datos "desde el diseño" Realización de Evaluación de Impacto sobre la Protección de datos (PIA) Protección de datos "por defecto" Medidas de seguridad. Notificación de violaciones de la seguridad de los datos (Data Breach) Nombramiento de delegado de protección de datos (DPO) Promoción de códigos de conducta y esquemas de certificación Mantenimiento de un Registro de Actividades de Procesamiento

7 Medidas de Seguridad en los datos de carácter personal (Data Breach)
Dependiendo naturaleza, alcance, contexto y fines, incluirá entre otros Seudonimización y cifrado Adecuación y garantías del sistema Procesos regulares de verificación, evaluación y valoración de las medidas de seguridad Estandarización (ISO) Naturaleza de la violación, categorías y nº afectados, y categorías y nº registros Datos contacto DPO Posibles consecuencias Medidas adoptadas para remediar la situación Violación de la seguridad Autoridad de control Notificación 72h + de 72h (a – que sea improbable que constituya riesgos) Motivos de la dilación Interesados Alto riesgo para los interesados Datos contacto DPO Posibles consecuencias Medidas adoptadas para remediar la situación Notificación No será necesario notificar si: Se han adoptado medidas que hagan ininteligibles a los datos afectados Medidas que garanticen que ya no existe alto riesgo Cuando suponga un esfuerzo desproporcionado

8 Registro de Actividades de Procesamiento
ANTES: declaración ficheros AEPD Datos identificativos RT/representante y DPD Fines del tratamiento Categoría interesados y DP Categoría destinatarios a quien se comunican/comunicarán los DP Transferencias Internacionales Plazos para la supresión (cuando sea posible) Descripción medidas de seguridad (cuando sea posible) RT ET Datos identificativos del encargado y del RT por cuenta del que actúe y en su caso representante y DPO Categorías de tratamientos que efectúe por cuenta del RT Transferencias internacionales Descripción medidas de seguridad (cuando sea posible) * No aplica a empresas con -250 empleados, a menos que el tratamiento entrañe riesgos y no sea ocasional

9 Evaluación de impacto (PIA)
Antes del tratamiento de datos que potencialmente conlleve el riesgo para los derechos de los interesados es necesario realizar una evaluación de impacto: Evaluación constante y completa de aspectos personales de los sujetos, incluyendo la elaboración de perfiles Tratamiento a gran escala de las categorías especiales de datos Observación regular a gran escala de una zona de acceso público Cuando después de la Evaluación de Impacto se determine que el tratamiento conlleva un alto riesgo se requerirá una consulta previa a la Autoridad de Control WP29 Guidelines nos definen cuándo existe un alto riesgo: Cuando se realiza una evaluación sistemática y extensiva sobre aspectos de personas físicas basada en procesos automatizados Cuando se procesa a gran escala datos de carácter sensible a ojos del RGPD Cuando se monitoriza un área de acceso público a gran escala de manera sistematizada

10 Delegado de protección de datos (DPO)
¿Cuándo es necesario? El tratamiento lo lleve a cabo una autoridad pública Tratamiento a gran escala y requiera atención habitual Actividades RT/ET tratamiento a gran escala de datos sensibles Grupo empresarial puede nombrar a 1 DPO DPO puede ser necesario en supuestos distintos según Dº de la Unión Puede formar parte de la plantilla – conocimientos especializados en derecho y en la protección de datos Deben publicarse los datos del DPO y comunicarlo a la autoridad de control A tener en cuenta Posición RT/ET deben garantizar la participación del DPO en todas las cuestiones de PD RT/ET respaldarán al DPO en el desempeño de sus funciones y garantizarán que no reciba instrucciones de ningún tipo durante el desempeño de las mismas Interesados podrán ponerse en contacto con el DPO para Debe mantener secreto y confidencialidad Podrá desempeñar otras funciones Cuestiones PD Ejercer sus derechos Informar y asesorar – RT/ET/empleados – de sus obligaciones en virtud de PD Supervisar el cumplimiento de la normativa de PD así como de las políticas del RT/ET en materia de PD Asignación de responsabilidades, concienciación y formación al personal que trate DP Auditorias Asesorar respecto a las Evaluaciones de Impacto Cooperar con la autoridad de control y actuar como punto de contacto Funciones

11 El sistema de "Ventanilla Única"
Se establece una autoridad de protección de datos para la interlocución con aquellas organizaciones que traten datos en los diferentes Estados Miembros Las autoridades europeas de protección de datos deben analizar el carácter transfronterizo cuando se valore un supuesto, en cuyo caso se abrirá un procedimiento de cooperación Cuando existan discrepancias insalvables, se podrá elevar el caso al Comité Europeo de Protección de Datos, que resolverá la controversia mediante decisiones vinculantes Los particulares pueden plantear sus reclamaciones o denuncias a su propia Autoridad nacional, que informará al interesado sobre el resultado final Este sistema no afectará a empresas que desarrollen su actividad sólo en un Estado miembro y realicen tratamientos de datos que afecten sólo a interesados de ese Estado

12 Gracias por vuestra atención

13 Abogado. Socio - Director del Departamento de Derecho de IT/IP
Rafael García del Poyo Abogado. Socio - Director del Departamento de Derecho de IT/IP Paseo de la Castellana, 52 28046 Madrid Tel : Fax: Móvil: RGarciadelPoyo Rafael García del Poyo

Descargar ppt "RGPD (2016/679) Rafael García del Poyo - Abogado. Socio Director del Departamento de Derecho IT/IP."

Presentaciones similares

Principio de Responsabilidad Demostrada y RNBD Carlos Enrique Salazar Muñoz Director de Investigación de Protección de Datos Personales Mayo de 2016.

Principio de Responsabilidad Demostrada y RNBD Carlos Enrique Salazar Muñoz Director de Investigación de Protección de Datos Personales Mayo de 2016.
SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD OCUPACIONAL Prevención de Seguridad y Salud en el Trabajo.

SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD OCUPACIONAL Prevención de Seguridad y Salud en el Trabajo.
Argentina - 2015 Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.

Argentina Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.
PROTECCION JURIDICA DE LAS BASES DE DATOS.  Realiza acciones para cumplimiento de la Ley Nº (Ley de Protección de Datos Personales y su Reglamento).

PROTECCION JURIDICA DE LAS BASES DE DATOS.  Realiza acciones para cumplimiento de la Ley Nº (Ley de Protección de Datos Personales y su Reglamento).
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
RESPETO A LA DIGNIDAD DEL PACIENTE ATENCION ABIERTA OFICINA DE CALIDAD Y SEGURIDAD DEL PACIENTE CORMUVAL.

RESPETO A LA DIGNIDAD DEL PACIENTE ATENCION ABIERTA OFICINA DE CALIDAD Y SEGURIDAD DEL PACIENTE CORMUVAL.
“Rol de Participación de la Comunidad en el Procedimiento de Evaluación de Impacto Ambiental según la ley 19300” 1.

“Rol de Participación de la Comunidad en el Procedimiento de Evaluación de Impacto Ambiental según la ley 19300” 1.
PROTECCIÓN DE DATOS.

PROTECCIÓN DE DATOS.
01 de junio de 2010 Ley de Servicios Profesionales

01 de junio de 2010 Ley de Servicios Profesionales
EL FUTURO DE LA FISCALIZACIÓN EN MÉXICO Nuevas Obligaciones vs Disponibilidad Presupuestal 1.

EL FUTURO DE LA FISCALIZACIÓN EN MÉXICO Nuevas Obligaciones vs Disponibilidad Presupuestal 1.
Seguridad e higiene industrial

Seguridad e higiene industrial
Protección de Datos de Carácter Personal – Manual Breve

Protección de Datos de Carácter Personal – Manual Breve
COMITÉ DE PROTECCIÓN DE DATOS PERSONALES

COMITÉ DE PROTECCIÓN DE DATOS PERSONALES
Algunas experiencias previas de las instituciones de la UE

Algunas experiencias previas de las instituciones de la UE
Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov. 2016  Mar España Martí Directora Agencia Española.

Seminario RIPD El Reglamento Europeo de Protección de Datos. Principales novedades Montevideo -Nov  Mar España Martí Directora Agencia Española.
NORMAS INTERNACIONALES DE AUDITORIA

NORMAS INTERNACIONALES DE AUDITORIA
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.

COMENZAR JUEGO INSTRUCCIONES SALIR DEL JUEGO.
Aspectos legales Dolores Godoy Flores

Aspectos legales Dolores Godoy Flores
POLÍTICA DE INCENTIVOS N+1 SYZ

POLÍTICA DE INCENTIVOS N+1 SYZ

Presentaciones similares

Anuncios Google